【小哈划重点:这些威胁组织声称共窃取了近10亿条数据记录,若相关企业未单独支付赎金,或Salesforce未统一支付覆盖所有受影响客户的赎金,他们将逐步公开这些数据。】
10月8日消息,Salesforce已确认,将不会与今年针对该公司客户发起大规模数据盗窃攻击的网络威胁组织进行谈判,也不会支付任何赎金。
据彭博社报道,Salesforce于周二向客户发送电子邮件,明确表示不会支付赎金,并警告称,根据“可信的威胁情报”,攻击者正计划公开泄露所窃取的数据。
Salesforce还向BleepingComputer证实:“我可以确认,Salesforce不会与任何勒索方接触、谈判或满足其勒索要求。”
这一声明是在一个名为“Scattered Lapsus$ Hunters”的黑客组织建立数据泄露网站后发布的。该组织正试图对39家数据遭窃的公司进行勒索。该网站托管在breachforums [.] hn域名下,该域名名称源自臭名昭著的黑客论坛BreachForums,后者以买卖和泄露被盗数据而闻名。
注意到,被列在该数据泄露网站上遭到勒索的企业包括众多知名品牌和机构,如联邦快递(FedEx)、迪士尼 / Hulu、家得宝(Home Depot)、万豪国际(Marriott)、谷歌(Google)、思科(Cisco)、丰田(Toyota)、盖璞(Gap)、开云集团(Kering)、麦当劳(McDonald's)、沃尔格林(Walgreens)、Instacart、卡地亚(Cartier)、阿迪达斯(Adidas)、萨克斯第五大道(Saks Fifth Avenue)、法航-荷航集团(Air France & KLM)、环联(TransUnion)、HBO MAX、联合包裹(UPS)、香奈儿(Chanel)以及宜家(IKEA)等。
这些威胁组织声称共窃取了近10亿条数据记录,若相关企业未单独支付赎金,或Salesforce未统一支付覆盖所有受影响客户的赎金,他们将逐步公开这些数据。
这些数据来自2025年发生的两起独立攻击行动中对Salesforce系统的入侵。
第一波数据盗窃行动始于2024年底,攻击者通过社会工程手段冒充IT技术支持人员,诱骗企业员工将恶意OAuth应用连接至其公司的Salesforce系统。一旦获得授权,攻击者便利用该访问权限下载并窃取数据库,随后通过电子邮件对企业实施勒索。
此次社会工程攻击影响的企业包括谷歌、思科、澳洲航空(Qantas)、阿迪达斯、安联人寿(Allianz Life)、农夫保险(Farmers Insurance)、Workday、开云集团(Kering),以及LVMH集团旗下子公司如迪奥(Dior)、路易威登(Louis Vuitton)和蒂芙尼(Tiffany & Co.)等。
第二波针对Salesforce的数据盗窃行动始于2025年8月初,攻击者利用从SalesLoft Drift平台窃取的OAuth令牌,横向渗透至其客户的CRM环境并实施数据外泄。
此次针对SalesLoft供应链的攻击主要聚焦于窃取客户支持工单数据,从中扫描提取登录凭证、API密钥、身份验证令牌及其他敏感信息,以便进一步入侵企业的内部基础设施和云服务系统。
其中一名参与SalesLoft攻击的黑客组织成员 —— 绰号“ShinyHunters”者向BleepingComputer透露,在此次攻击活动中,他们共窃取了超过760家企业的约15亿条数据记录。
截至目前,已有包括谷歌、Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、JFrog、Nutanix、Qualys、Rubrik、Cato Networks、Palo Alto Networks在内的多家企业确认受到了SalesLoft供应链攻击的影响。
近期上线的数据泄露网站最初主要用于勒索第一波社会工程攻击中的受害者。攻击者曾宣称,将于10月10日之后开始公开勒索受SalesLoft攻击影响的企业。
然而,目前该数据泄露网站已被关闭。其域名当前使用的DNS服务器为surina.ns.cloudflare.com和hans.ns.cloudflare.com,这两个IP地址此前曾被美国联邦调查局(FBI)用于查封非法域名时使用。
BleepingComputer已就此联系FBI,询问是否由其执行了此次域名查封,但截至发稿时尚未收到回应。
